Legeak, oro har, gizartearen atzetik ibiltzen badira, zer esanik ez ziztu bizian aldatzen doazen teknologia berriak eta horien erabilerak dakartzan ondorioak arautu nahi dituzten legeak. Era eta zentzu askotan ari dira gizartea eraldatzen digitalizazioa eta horri lotutako teknologiak, eta arrapaladan datozen aldaketez, horien ondorioez eta erabilerak arautzearen beharraz badaki zerbait Idoia Landak (Azpeitia, 1995). Zuzenbidean doktorea, unibertsitateko gradu ikasketak egin zituen toki berean irakaslea eta ikertzailea da gaur egun azpeitiarra, EHUren Donostiako Zuzenbide fakultatean. Datuen babesean aditua, Zuzenbide Digitala eta Osasun Zuzenbidea dira egun jorratzen dituen arlo nagusiak.
Zuzenbide Digitala eta Osasun Zuzenbidea dira ikertzaile gisa lantzen dituzun arlo nagusiak, datu babesaren ikuspuntutik nagusiki. Zergatik arlo horiek?
Proiektu bati esker hasi nintzen tesia egiten. Abokatutza masterra egin ondoren, Donostiako bulego batean hasi nintzen lanean, eta han nenbilela izan nuen proiektu horren berri. Europa mailako proiektu bat zen, eta helburua zen teknologia berrien erabilera ezartzea pertsona helduei, gaixotasunen bat zutenei zein osasun arazorik ez zutenei, ondoren patroiak ateratzeko, eta horietatik eratorritako ondorioekin, tratamendu pertsonalizatuak bermatu ahal izatea. Europako bost estatutako bost mila pazientek hartu dute parte proiektu horretan. Espainiako Estatuan proiektuaren aholkularitza juridikoaz arduratzeko lanpostu bat atera zuten, eta EHUren bidez egin zuten hori; fede handirik gabe, baina lanpostu horretara aurkeztu nintzen, eta lortu egin nuen lana.
Hortik abiatuta egin zenuen doktore tesia ere, osasun datuen babesaren gainean, bereziki desgaitasuna duten adinekoen kasuan.
Ez da tesi aplikatu bat, hau da, ez da proiektu horren ondorioetan bakarrik zentratzen den tesi bat; baina bai ikusi nuela praktikan zer arazo juridiko sortzen ziren, eta saiatu nintzen tesian horiei erantzuna ematen. Hortik abiatuta hasi nintzen arlo horietan datuen babesa lantzen, interesgarria iruditzen zitzaidalako, berritzailea. Ordura arte, gai tradizionalagoekin ari nintzen lanean, baina beti gustatu izan zaidan gaia da, beti izan dut interesa; Gradu Amaierako Lana adin txikikoen sare sozialetako eskubideen gainean egin nuen.
"Datuen babesa oinarrizko eskubidea dela ahazten zaigu"
Desgaitasuna duen adinekoak bere osasunari buruzko datuak tratatzeko baimena ematea da, euskaratuta, tesian oinarrituta 2024ko urtarrilean argitaratu zenuen liburuaren izenburua. Zein da tesiaren muina?
Osasun eremuko baimenetara bideratuta dago tesia, baina zabala da eta atal gehiago ditu; adibidez, hil ondoren gure familiako kideek gure datuetara sartzeko aukerarik ba al duten. Baina, batik bat, onarpena dago tesiaren muinean. Datuen tratamendu bat egiteko lege oinarri bat behar dugu, eta lege oinarri desberdinak daude. Horien artean ohikoena izaten da jabearen edo titularraren onarpena. Baina, onarpen hori, baliozkoa, nola eman, desgaitasuna duen pertsona heldu baten kasuan? Onarpen baliozkoa emateko, datuen jabeak ulertu egin behar du. Desgaitasuna duten adinekoen kasuan, batetik daukagu desgaitasuna bera, eta bestetik arrakala digitala; zailtasun asko sartzen dira jokoan. Orduan, horrelakoetan nola bermatu benetan pertsonaren autonomia eta bere datuen babeserako eskubidea, sistema zaharretik sistema berrira pasatuta? Izan ere, 2021ean erreforma bat egon zen; ordura arte, joera orokorra zen ordezkapen sistema bat ezartzea, desgaitasuna zuten helduei tutoreak ezartzea; orain, berriz, laguntza sistema dago indarrean.
Zer ondorio ditu aldaketa horrek?
Tesia egiten ari nintzela gertatu zen erreforma, eta aldaketa interesgarria iruditu zitzaidan. Ordezte ideia hori alde batera laga dugu, eta orain, praktikan, mundu errealean, nola eman behar dugu legean aipatzen den laguntza, datu babesaz ari garenean? Galdera horren erantzunetara bideratuta dago, nagusiki, nire tesia.
Adinekoak, desgaitasuna, osasuna, datuen babesa, baimenak, onarpena... Gaia mamitsua da. Oro har, zergatik da garrantzitsua datuen babesa?
Erantzun azkarra eta erraza ematen hasita, datuen babesa oinarrizko eskubide bat delako, eta ahaztu egiten zaigu horrela dela. Osasun Zuzenbidearen eremuan ibiltzen naizenez, paralelismo hau erabiltzen dut askotan: osasun tratamendu bat hasterako edo ebakuntza baten aurretik, agiri bat sinatu behar izaten da eta sinadura horren efektua garbi ikusten dugu, tratamendu bat edo ebakuntza bat; datuak, ordea, ez dira ikusten, eta horien erabilera baimentzearen efektuak ere ez dituzu nabaritzen, nolabait, hain azkar, edo ez zara kontziente. Biak dira oinarrizko eskubideak, bata da osasun fisikorako eta moralerako eskubidea, eta bestea, datuen babeserako eskubidea; baina bigarrenaren efektua ez da hain berehalakoa edo bisuala. Alderaketa hori eginda, datuen erabileraren eragina ikaragarria izan daiteke: diskriminazioa, bankuek kredituak ukatzea –ahanztura onkologikorako eskubidearekin lotuta–... Uste dut gazteek, oro har, nire eremuan behintzat, ez dituztela arrisku horiek ikusten. Oso hedatuta dago "nik ez daukat ezer ezkutatzeko" hori, baina horrela al da benetan? Lan eremuan eragin zuzena izan dezake zuk sare sozialetan esaten duzunak, hipoteka bat ukatzeko arrazoia ere izan daiteke... eta horrela, mila gauza. Esan bezala, datuen babesa oinarrizko eskubide bat da eta, beraz, maila horretako garrantzia eman behar diogu.
Datuen erabilerarako baimenak ia egunero ematen dira gaur egun inguru digitalean, zer baimentzen den gehiegi jakin gabe. Inork irakurtzen al ditu baimen eskaerak?
Berez, datuen tratamenduaren erantzuleak betebehar batzuk ditu, eta horien artean dago informazioa ematea, erabiltzaileok informazioa jasotzeko eskubidea daukagulako datu babesaren eremuan. Guri, berez, baimen eskaeretako testu luze horiek eskura jartzen dizkigutenean, errespetatu digute eskubide hori. Baina Espainiako Datu Babeserako Agentziak esaten duena da –eta neuri egokia iruditzen zait alde horretatik–, kontua ez dela informazioa ematea bakarrik, baizik eta nola ematen den; hau da, zer hitz erabiltzen diren, zer luzera duen dokumentuak... Kontuan eduki behar duguna da ez dagoela erabiltzaile bakar bat, erabiltzaileen ezaugarriak ezberdinak izan daitezke. Adina, baldintza sozioekonomikoak, generoa... arrazoi ezberdinek eragindako mila arrakala egon daitezke, kasu honetan aplikagarriak direnak. Horiek kontuan hartuta, agentziak bi fasetako taula sistema bat proposatzen du: lehen fasean edo pantailan, erabiltzaileari aitortu behar zaion informazioa oso eskematikoki jartzea; eta eskematikoki emandako informazio horren garapena bigarren pantaila batean egotea, nahi duenak sakondu dezan.
Oinarrizko informazioa hasierako pantaila horretan egon beharko litzateke, beraz.
Hori da: harremanetarako kontaktua, datuen babeserako arduraduna nor den eta erabiltzailearen eskubideak, guztia hitz errazekin adierazita, edonorentzako modu ulergarrian, ez legelariek soilik ulertzeko moduan.
"Kontzientzia sozial bat eratzea dagokigu, eta horrek heziketa bat eskatzen du"
Baina, momentuz, ez da horrelakorik gertatzen, ezta?
Ez. Hori da aipatu agentziak proposatzen duen sistema, baina egunerokotasunean ikusten dugu ez dela erabiltzen.
Erabiltzaileen ardura eza batetik, datuak erabiltzeko baimena eskatzen dutenen zurruntasuna bestetik... Letra txikia txikiegia al da?
Bai. Gainera, askotan jatorrizko helbururako beharrezkoak ez diren baimenak ere eskatzen dituzte. Adibidez, egunean zenbat pauso ematen dituzun kontrolatzeko aplikazio bat jaisten baduzu, aplikazio horrek ezin dizu exijitu mikrofonoa aktibatzea edo zure kontaktuetarako sarbidea. Onarpenak librea eta informatua izan behar du; eta librea al da, horrelakoak onartzera derrigortzen banauzu? Bestalde, datu gehiago ari zara jasotzen, eta hori datuen minimizazioaren printzipioaren aurkakoa da. Horiekin dagoeneko onarpenaren baldintzak urratuta leudeke. Kontua da, hori zigortzen hasi beharrean gaudela, jendeak legea errespeta dezan. Tristea da, baina horrela bakarrik ikasten dugu.
Indarrean dauden legeek zenbateraino babesten dituzte erabiltzaileak eta zer ahalmen dute enpresei-eta mugak jartzeko?
Berez, Europako Batasunean indarrean den araudia aplikagarria da batasuneko herritarren datuak tratatzen diren momentutik; orduan, Europako Batasunetik kanpoko enpresek berdin-berdin errespetatu beharko lukete araudi hori. Adibidez, ChatGPT ez da Europan sortutako sistema bat, AEBetan sortutakoa da, baina guk hemen erabiltzen badugu, guri Europako araudia aplikatzen zaigunean, ChatGPTk errespetatu egin behar du, hemen erabiltzen ari garen unetik. Atzerriko enpresak ez daude Europako Batasuneko legeak betetzetik salbuetsita; horregatik exijitu zuen Italiak, esaterako, ChatGPTren erabilera debekatzea Italian, ez zuelako errespetatzen Europako araudia.
Nire ustez, 2016ko Europako Batasuneko araudia, egun indarrean dagoena, promesa handi bat zen, baina arlo askotan egin dena da armonizazioa alde batera utzi eta araudiaren garapena estatuen esku utzi. Asmoa baldin bazen denok multzo batean joatea, sortu dena da kontrako efektua; COVID-19aren garaian, esaterako, garbi ikusi zen zer bide jarraitu zuen estatu bakoitzak, nahiz eta denak Europako Batasunaren barruan egon, eta nahiz eta denentzat aplikagarria izan araudi bera.
X-en edo Metaren sare sozialetan desinformazioaren kontra ustez ezarrita zituzten babes neurriak kentzea erabaki dute. Zer ondorio izan ditzake horrek?
Badaude, Zuzenbide Digitalaz ari garela, erantzukizun indibiduala defendatzen duten autoreak, defendatzen dutenak bakoitzak ikusi behar duela teknologia nola erabiltzen duen eta zer ondorio izan dezakeen horrek beregan. Ez nago ados. Lehenik eta behin kontzientzia sozial bat jorratzea dagokigu, eta horrek heziketa bat eskatzen du, eskolatik hasi beharko litzatekeen heziketa bat. Teknologiari ez zaio beldurrik eduki behar; dakartzan onurak aprobetxatu behar dira, eta arazoei aurre egin. Aipatu dugun oinarrizko eskubidea eta zer inplikazio dauzkan ezagutu behar ditugu aurrena; horiek jakinda, ez dugu hain arin hartuko oinarrizko eskubide hori. Bai, kontzientzia soziala bultzatu behar da, eta askatasun bat egon behar da, baina ez erabatekoa. Mugak jarri behar dira, nire ustez, eta hori garbi ikusi da adimen artifizialaren eremuan. Araudia 2024an jarri zen indarrean, nahiz eta ez den guztiz aplikagarria izango 2027ra arte; eta daramagun abiadarekin, ordurako aldaketak egin beharko ditugula konturatuko gara.
Beti dago zerbait berria eta aldaketak oso azkar gertatzen dira arlo horretan.
Horregatik. Hain justu, legedi berri horren muina da arriskuak identifikatzea, eta arrisku horien arabera, onartezinak diren kasuetan, adimen artifizialaren aplikazioa debekatzea. Dena ez da balekoa eta ezin dugu utzi dena erantzukizun indibidualaren gain.
Nola sustatu beharko lirateke aipatu dituzun kontzientzia eta heziketa?
Pentsatu nahi dut pixkanaka joango garela kontzientzia hartzen. Lehenengo booma etortzen da, eta gero ikusten ditugu horren ondorioak. Sare sozialekin horrela gertatu da: booma duela urte gutxi izan zen, eta horren ondorioak pixkanaka joango gara ikusten. Sharenting-a [gurasoek beren seme-alaben informazioa, irudiak eta, Interneten partekatzea edota erabiltzea] da jorratzen dudan beste gaietako bat. Uste dut, edo pentsatu nahi dut, guraso asko oraindik ez direla konturatzen zertan ari diren, baina erabilera horrek inplikazioak izango ditu etorkizunean. Ume horiek txikiak dira oraindik eta oraindik hasierako fasean gaude, baina etorkizunean, dudarik gabe, ikusiko ditugu demandak, seme-alabak gurasoei kalte ordainak eskatzen, intimitate edota irudi eskubideak urratzea leporatuta.
"Uste dut guraso asko oraindik ez direla konturatzen zertan ari diren"
Hasierako fasean gaudela diozu. Horrelako demandak gertatu al dira dagoeneko?
Bai, dagoeneko badaude kasu batzuk Ameriketan. Hemen, oraindik ez; esan bezala, booma duela gutxi izan da eta ume horiek oraindik txikiak dira. Hala ere, kontuan izan behar da sharenting-ak bi alderdi dituela: bat da umeen esposizio hutsa, edonork egin dezakeena; eta bestea umeen esposizioarekin onura ekonomikoa lortzen duten instamami edo instapapi deritzen horiena. Baina, esan bezala, oraintsu hasi gara horrelako gaiak jorratzen, aztertzen eta horiei buruz idazten, baita arriskuez ohartarazten ere: haur horien identitate digital bat eratzen ari gara eta horrek eragina izan dezake etorkizunean haien bizitzetan; ume horiei ez zaie utzi nortasun aske bat eratzen. Horrelako kasuetan, egoera lehengoratzea ezinezkoa denez, irteera laukira edo hasierara itzultzerik ez dagoenez, Zuzenbide Zibilak eskain dezakeen irtenbide bakarra kalte ordainarena da.
Mundu digitala, aplikazioak, lainoa, eskuko telefonoak... Emandako baimenetan atzera egiterik ba al dago?
Arlo bakoitzean bere ondorioak dauzka horrek. Onarpena ezabatzeko aukera badaukagu, baina arloaren arabera. Sare sozialetara igo dugun argazki bat ezaba dezakegu, adibidez, baina egia da, era berean, Internetek ez duela ezer ahazten. Beraz, zenbateraino da eraginkorra onarpenak kentzea? Ba, sharenting-era itzulita, ezabatu nahi duzun eduki horren pantaila argazkia egin badut, zuk galdu duzu jada datu horiei buruzko kontrola.
Sare sozialetan konturen bat zuen pertsona bat hiltzen denean, 'bizirik' jarraitzen du sarean. Nola kudeatzen dira kasu horiek?
Araututa dago, badago hori nola kudeatu adierazteko modua, baina notario bati entzun nion duela gutxi %5ek besterik ez zuela aukera baliatzen. Eztabaidatua izan da oso nola edo non jaso beharko litzatekeen hil ondorengo sare sozialen kudeaketari buruzkoa. Defendatuena izan da sare sozialen gaineko borondatea testamentuan jasotzea, ondare arlokoa ez den kontu gisa. Baina pasahitzen auzia hor dago. Batetik, pasahitzak berritu egiten dira, eta testamentua egiterakoan jasotako pasahitzak nekez izango dira baliogarriak testamentua aplikatzeko unea iristen denean. Bestetik, badaude pasahitz horiek guztiak gordetzen lan egiten duten enpresak, baina zer gertatzen da enpresa ixten baldin bada? Era berean, gerta daiteke testamentua irakurtzerakoan jasotako pasahitzek balioa mantentzea, baina kasu horretan, testamentua entzutera joandako guztiek izango lukete sarbidea hildakoaren sare sozialetako kontuetara, eta agian, ez da hori nahi duzuna. Beraz, arazo asko daude, baina 2018an arautu zen kontua Espainiako Estatuan: norberak zuzenean adieraz dezake zer egin bere sare sozialekin hiltzen denean, testamentuan jasota; bestela, legeak automatikoki baimentzen ditu familiako kideak eta bikotekidea erabaki bat hartzera, kontuak irekita mantendu ala ezabatzea ebaztera.
Sendikoek hildakoaren kontua edo kontuak ixtea erabakitzen badute, zer pauso eman behar dituzte?
Kontuaren jabearen heriotza zein hildakoarekin zuten lotura egiaztatu behar dituzte sare sozialaren jabe den enpresaren aurrean; horiek dira betetzea eskatzen zaien bi baldintzak. Hala ere, pauso zuzenena litzateke gure borondatea jasota uztea. Izan ere, erabakia familiaren esku gelditzen den kasuetan arazoak sor daitezke; batek kontuak irekita mantentzea nahi izatea eta besteak ixtea, esaterako. Bestalde, hildakoaren familiako kide izate hutsak haren kontuetan sartzeko eskubidea eman behar al digu? Ertz asko izan ditzakeen gaia da.
Robinson zerrendan izena emanda eduki arren dei komertzialak jasotzen jarraitzen dutela diotenak ere badaude, adibidez. Onarpenaren gainean kontzientzia hartuta ere zailtasunek dirautenean, zer?
Ez da erraza, ez. Adibidez, marka jakin bateko oinetakoak erosi dituzu, eta hortik aurrera etxe horren publizitate mezuak jasotzen hasten zara sarri-sarri. Legezkoa al da hori? Ba, bai, erosterakoan horretarako baimena eman zenuelako. Eskaintza mezu horietan txiki-txikian etortzen den "baja eman" loturan klik egiten dugunean, hain justu, gure eskubide bat gauzatzen ari gara; oposiziorako eskubidea deritzona, hain zuzen ere. Geuk jakin ez arren, egiten ditugun gauzek juridikoki esanahi bat dute. Hala ere, askotan gertatzen da "baja eman" klikatu arren, nahi ez ditugun mezu horiek jasotzen jarraitzen dugula. Horrek ez luke horrela izan behar berez; datuen tratamenduaren erantzule horrek bere jarduera ez du egoki egin eta guri ez zaigu eskubidea behar bezala errespetatu, eta zigor ondorioa izan beharko luke, baina...
Baina herritar arrunt batek nekez joko du enpresa baten kontra auzitara nahi ez dituen mezuak bidaltzen dizkiotelako. Horretaz baliatzen al dira enpresak?
Datuen tratamenduaren erantzuleak ez badu zure eskubidea errespetatzen, hurrengo pausoa litzateke datuen babeserako delegatuarengana jotzea, baina enpresa guztiak ez daude derrigortuta halako bat izatera. Delegatuarengana jo eta hala ere eskubidea urratzen jarraitzen badute, autoritateengana jotzeko aukera irekitzen zaigu; gure kasuan, Datuen Babeserako Euskal Agentzia litzateke lehen instantzia, edo Espainiakoa, bestela. Baina, bat: herritarrek ba al dakite hori? Bi: jakinda ere, gauzak benetan ondo egiten badira, gure eskubideak benetan errespetatzen badira, ez daukagu zertan horraino ailegatu beharrik. 2018an sartu zen araudi hau indarrean, eta oraindik neurriok benetan aplikagarri nola bihurtu ikusten ari gara.
Datuen babes erabatekoa kimera bat al da smartphoneen aroan?
Ikuspuntu nahiko konformista iruditzen zait hori. Alderdi eta figura desberdinak identifikatuta daude araudian: interesduna edo datuen jabea, datu horien tratamenduaren erantzulea, delegatua... eta bakoitzak bere betebeharrak eta eskubideak dauzka. Horiek bermatuz gero, ez dut esaten gure datuen babeserako eskubidea kasu denetan eta modu automatikoan errespetatuko denik, baina horrela beharko luke izan. Oinarrizko gauza horiek ez exijitzea, konformista izateaz harago, enpresa handiei are indar gehiago ematea dela uste dut: legedia benetan errespetatu beharko lukeen alderdiari gure datuen babeserako eskubidea horren garrantzitsua ez dela esatea lizateke.
2018ko legea aplikatzeko zailtasunak aipatu dituzu. Zailtasun horiek ebazterako legea ez al da zaharkituta geldituko?
Beti esaten da Zuzenbidea gizartearen atzetik joaten dela; eta nik beti esaten dut, Zuzenbide Digitalaren kasuan, are gehiago. Ezin ditugu aurreikusi bi urteko epean sortuko diren gauzak. Duela gutxi irakurri nion zinema zuzendari bati gero eta zailagoa dela fikziozko filmak sortzea, filma egin eta estreinatu bitartean zaharkituta gera daitekeelako. Black Mirror egia da jada. 2027an sartuko da legea guztiz indarrean, eta ordurako aldaketak egin beharko zaizkio.
(Argazkiak: Maialen Etxaniz)